BEC 智能合约无限转币漏洞分析及预警

据 OKEx 公告称，4 月 22 日 13 时左右，BEC 出现异常交易。

OKEx 公告 慢雾安全团队第一时间分析发现，BEC 智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的 batchTransfer 批量转账函数存在漏洞，攻击者可传入很大的 value 数值，使 cnt * value 后超过 unit256 的最大值使其溢出导致 amount 变为 0。 batchTransfer 函数 这样攻击者的账户不会转出任何 BEC，但是接收方却可以收到大量 BEC。 交易详情 接收方1 接收方2 通过此次漏洞分析，慢雾安全团队建议智能合约开发者在批量转账时严格校验转出总额 amount 是否大于 0，以及在 for 循环内执行 balances[msg.sender].sub(value) 操作。 这类漏洞属于不可逆的破坏型漏洞，建议其他智能合约发布方及时自查。

---

关于慢雾科技 厦门慢雾科技有限公司，专注区块链生态安全，总部位于厦门，由一支拥有十多年一线网络安全攻防实践的团队创建。团队曾为 Google、微软、W3C、公安部、腾讯、阿里、百度等输出过安全能力，团队多项成果也曾进入过 Black Hat 等全球黑客大会。慢雾科技的核心能力包括：安全审计、防御部署、地下黑客风向标追踪。慢雾科技已经为全球多家交易所、钱包、智能合约等做了安全审计与防御部署，并通过独有的地下黑客风向标追踪引擎，持续为合作公司及国家相关部门提供威胁情报。